Sumário executivo

CloudSEKda plataforma contextual de risco digital de IA XV Vigília descobriu recentemente várias empresas que estão sendo alvo de um grupo de ransomware chamado Cl0p. Também foi estabelecido por alguns pesquisadores que o grupo de ransomware Cl0p foi explorando o CVE-2023-0669 no GoAnywhere MFT. A exploração desse CVE estava disponível um dia antes do lançamento do patch (7.1.2) em 7 de fevereiro de 2023. Descobriu-se que muitos painéis de administração vulneráveis do GoAnywhere estavam indexados no Shodan executado na porta 8000.

‍

O ransomware Cl0p é uma variedade de ransomware de alto perfil que está ativa desde 2019. O grupo também é conhecido popularmente por sua Tática de “dupla extorsão”, onde os dados roubados também correm o risco de serem divulgados, a menos que um resgate seja pago.

A vulnerabilidade é causada devido a um bug de desserialização explorado ao enviar uma solicitação de postagem ao endpoint em '/goanywhere/lic/accept '. Um módulo Metasploit também está disponível para explorá-lo.

‍

O GoAnywhere MFT é uma ferramenta que ajuda as pessoas a compartilhar arquivos com segurança entre diferentes sistemas, funcionários, clientes e parceiros.

‍

Análise detalhada

A interface do cliente web GoAnywhere (geralmente acessível pela Internet) não é vulnerável a essa exploração, apenas a interface administrativa é. Os agentes da ameaça também podem pesquisar interfaces de clientes da Web na Internet e tentar encontrar painéis de administração no mesmo IP.

‍

‍

Os resultados da pesquisa do Shodan indicam que milhares de painéis da web do GoAnywhere estão expostos na web. Desses milhares, cerca de 94 deles estão rodando na porta 8000 ou na porta 8001 onde o painel de administração (separado do painel da web) está localizado. Para obter a execução remota do código, somente uma solicitação de postagem precisa ser feita ao endpoint vulnerável.

EUA contém a maioria dessas instâncias vulneráveis do GoAnywhere MFT e, portanto, a maioria das vítimas recentes do grupo de ransomware Cl0p são dessa região.

‍

Sobre Cl0p Ransomware

O ransomware Cl0p é uma variedade de ransomware de alto perfil que está ativa desde 2019. O ransomware é uma variedade altamente sofisticada e perigosa que historicamente tem como alvo os servidores Microsoft Exchange, explorando as vulnerabilidades do ProxyShell. No passado, o grupo também tinha como alvo principal o setor de saúde e busca servidores de dados com informações confidenciais.

O grupo também é conhecido popularmente por sua tática de “dupla extorsão”, na qual dados roubados também correm o risco de serem divulgados, a menos que um resgate seja pago.

Vetores de ataque comuns

Embora o ransomware seja normalmente distribuído por meio de várias técnicas, vemos um aumento no número de vítimas por meio de vulnerabilidades de software de servidor. Como existem vários afiliados do grupo, aqui estão algumas técnicas diferentes usadas pelo grupo.

• E-mails de phishing
• Vulnerabilidades exploradas
• Possibilidade de divulgação por meio de credenciais extraídas de ladrões de informações.
• Zero dias sendo explorado ativamente na natureza.

‍

Análise de vulnerabilidade

A vulnerabilidade é um bug de desserialização inseguro que permite a Execução Remota de Código (RCE). O código vulnerável está localizado no console de administração do GoAnywhere MFT e depende de Grupos biblioteca de troca de mensagens em cluster. O código vulnerável pode ser encontrado em uma classe chamada License Response Servlet que se estende Servlet HTTP.

‍

‍

‍

A vulnerabilidade é causada pelo Faça uma postagem método que pega um parâmetro de entrada do usuário não validado e o passa para uma chamada de método em [2], o que leva ao API de licença. GetResponse método. A partir daí, a vulnerabilidade entra com.linoma.license.gen2.licensecontroller.getResponse método, que é onde o código é realmente vulnerável à desserialização.

‍

UM Módulo Metasploit também está disponível para explorar essa vulnerabilidade. UM Ferramenta POC também foi lançado no GitHub, que pega o objeto contendo código malicioso armazenado em um arquivo bin e o criptografa. O objeto criptografado é enviado por meio de uma solicitação de postagem para o endpoint vulnerável em '/goanywhere/lic/accept ' após o qual a biblioteca tenta desserializá-la e a execução remota de código é alcançada.

‍

‍

Mitigação

• Atualize seu sistema e pare de expor a porta 8000 onde o painel de administração do GoAnywhere MFT está situado na Internet.
• Faça login em sua conta e siga as etapas mencionadas no comunicado de segurança em Vá a qualquer lugar.
• Analise as contas de usuários administradores em busca de atividades suspeitas, incluindo nomes de usuário não reconhecidos, contas criadas pelo “sistema” que não são reconhecidas, datas suspeitas de criação da conta e superusuários inexistentes ou desativados criando contas.
• Entre em contato com o suporte do GoAnywhere MFT por meio do portal, e-mail ou telefone para obter assistência.

Referências

• *Fonte de inteligência e confiabilidade da informação - Wikipedia
• ^#Protocolo de semáforo - Wikipedia
• Publicação de Brian Krebs no Infosec Exchange
• GoAnywhere MFT - Um bug esquecido | Diário de Segurança Frycos 

‍